В Snap Store снова обнаружены вредоносные пакеты

Для Ъ список виновников торжества:

Fake Crypto Apps
These are fake apps which steal funds from user accounts. Must be removed immediately.

• https://snapcraft.io/ledger1
• https://snapcraft.io/trezor-wallet
• https://snapcraft.io/electrum-wallet2

P.S.: картинка была зачотная, жаль потёрли

Snap

Не нужно, есть flatpak.

flatpak тоже ненужно

Ну картинка-то никуда не делась, но тащить её на главную, имхо, перебор.

electrum-wallet2

ССЗБ.

Раз майнить уже давно никому не выгодно откуда у людей криптовалюта? Неужели находятся буратины торговать этим мыльным пузырем?

Даёшь больше клоунады в новостях!

Нужно.

Эскобар.джпг :)

После проверки данные пакеты были удалены, установить их более невозможно.

И вот тут интересный момент:

1. Их просто удалили с репов и они остались на компьютерах пользователей – Каноникл распространил зловред и пользовали с ним остались;

2. Снап сам удалил эти пакеты с компьютеров пользователей – Каноникл может удалять пакеты на вашем ПЭКА.

Каноникл распространил зловред

Нет, его распространили те, кто эти приложения написал и залил в snapcraft

Snap сам удалил пакеты? После этого кто им будет пользоваться?)) Одна из спорных вещей которую распиарили как аналог виндовозного магазина

А почему люди удивляются такому? Ведь до снапа в убантах были очень популярны всякие сторонние неофициальные репы, лаунчпады и прочие ppa с пакетами от хз кого. Убантой в основном пользуются юзеры винды с привычкой, что для каждого апса, надо гуглить линки, и качать первый попавшийся setup.exe.

в убантах

Не коверкай зулусский - в убУнтах.

https://upload.wikimedia.org/wikipedia/commons/transcoded/b/b5/En-Ubuntu_pronunciation.oga/En-Ubuntu_pronunciation.oga.mp3

Поэтому убунта есть ховно

На мой взгляд любой пакет, поставленный через эту срамоту, является вредоносным.

Нет.

Нет.

В флатпаке-то, где вообще можно свою репу сделать, сабжа конечно же не может случится)

1. Их просто удалили с репов и они остались на компьютерах пользователей – Каноникл распространил зловред и пользовали с ним остались;

2. Снап сам удалил эти пакеты с компьютеров пользователей – Каноникл может удалять пакеты на вашем ПЭКА.

3. По ссылке

The process for such apps involves to remove the actually malicious binaries from the archive and replace them with empty ones so users that have these apps installed get auto-refreshed to the harmless empty ones. this is why you still see them, but whatever you install as these apps is now just an empty snap.

На мой взгляд любой пакет, поставленный через эту срамоту, является вредоносным.

Даже systemd ? :)

А почему бы рудистроделам, если они действительно такие крутые в области проверки сорцов на зловреды, не сделать SaaS для проверки других дистров? Чтобы не привязываться к их собственным дистрам, которые, как мы уже поняли, «нравятся не всем» (c) ? :)

Т.е. некий платный SaaS сервис типа линтер-антивируса сканил бы какое-то указанное им подмножество сорцов, доступных через тот или иной пакетный менеджер, и выдавал бы свои замечания типа http://perplexity.ai только в области предсертификационных проверок дистрибутивов.

Ну доверять или не доверять конкретной репе - это вопрос, на который ты должен ответить сам. Но даже если ты решил довериться, то степень этого доверия может быть не такой большой благодаря встроенной песочнице.

Спекулятивную составляющую торговли никто не отменял

Где тег «шерето».

Канониклы вообще красавчики. Сначала окуклили снап под предлогом безопасности, а потом обделались. Не единожды.

[ʊˈbʊntuː]

Не уверен насчёт мн.ч.

И скорее всего, это не должно склоняться.

Хотя Дж. Буш говорил про «эти ваши интернеты». Так что почему бы и нет.

Я про то, что у многих почему-то языки чешутся произнести Убунту как Абанту или Убанту

Пытаются на языке хозяев.

Ну то есть ситуация получилась таки как и описано:

• У части юзеров стоит –hold=forever, то есть у них там теперь стоит малварь с «официального» репа и они могут об этом не знать, ибо мало кто лезет на форумы из нормальных людей, когда у него нет проблем.

• У части юзеров каноникал заменила пакет на пустой - по факту безальтернативно удалила приложение без возможности восстановления. Раз это криптокошельки - то гуд бай всё, что на него там было завязано. Там 100% был оригинальный функционал кошелька, иначе скам был бы виден сразу.

Короче вносите Эскобара, корпораты опять обосрались.

Аудит это довольно нудная ручная работа, и в значительной степени автоматизации не поддается. Одно приложение, удаляющее кучу файлов с диска - зловред. А другое - чистилка кеша. Отличить такое пока может только человек.

У части юзеров стоит –hold=forever

Если каноникал реализует удаленное удоление приложений не зависимо от настроек, их же на лорчике порвут на британский флаг)

Раз это криптокошельки - то гуд бай всё, что на него там было завязано.

Нужно делать бекапы данных, а вдруг диск улетит. Но в случае сабжа на этих кошельках уже денег нету, так что пофиг.

Ящитаю для таких случаев правильней всего было бы делать обертки (или как их там snap запускает) и после запуска выводить модальное окно с информацией: мол, сорян, обосрались, нужно либо удалить, либо все остальное на твоей совести, юзер.

По идее, такую функциональность автор каждого пакетного менеджера должен проектировать сразу. Потому что в любой более-менее большой и популярной репе всегда будут попытки распространять зловреды.

Аудит это довольно нудная ручная работа, и в значительной степени автоматизации не поддается. Одно приложение, удаляющее кучу файлов с диска - зловред. А другое - чистилка кеша. Отличить такое пока может только человек.

Могли бы хотя бы продавать инструмент для очищения определенных версий Debian, уже проверенные на Астре, если там действительно есть чего чистить?

Предложить некую платную подписку для оповещения о вредоносных пакетах в Debian, предоставлять линки на фрагменты плохого кода и т.п.?

Если каноникал реализует удаленное удоление приложений не зависимо от настроек, их же на лорчике порвут на британский флаг)

А нефиг было исходно пытаться

1. Монополизировать репу
2. Принудительно сажать на снап
3. Не давать отключать принудительные обновы

И как эти три пункта помогут с сабжем?

Монополизировать репу

Получается с одной стороны нам нада какая-то авторитетная центральная структура, которая будет проверять пакеты, с другой стороны мы не любим централизацию. И как достичь счастья с такими взаимоисключающими параграфами?) Кстати, что там у флетпак?

Принудительно сажать на снап

Как юзер убунту могу заявить, что на снап меня никто не сажал. Я даже однажды по совету лорчика его выпилил, но потом об этом пожалел и вернул

Не давать отключать принудительные обновы

Принудительные обновы плохо, сабж не обновится принудительно тоже плохо. См рис 1 пункт 1

Мне вот любопытно, хоть не являюсь пользователем ни Убунту, ни снапов.. а они хоть через этот свой стор пользователей уведомили о проблеме? Ну там хоть мелким попапом каким-нибудь?

использования автоматической системы проверки публикуемых в Snap Store пакетов

Надо же. Что могло пойти ТАК?

Только недавно смотрел как засылать пакеты в дефолтный flathub – понравилось что оно проходит публичное ревью. Правда апдейты уже видимо на доверии держатся (?)

У части юзеров стоит –hold=forever

Этих не жалко.

Ничего удивительного. И прицепом еще дырявые электроноподелки, которые никто не спешит обновлять.

Следует отметить, что инциденты с загрузкой вредоносных пакетов в Snap Store случались и ранее, например в 2018 году в Snap Store были выявлены пакеты, содержащие скрытый код для майнинга криптовалют.

Никогда такого не было, и вот опять

Как говорят наши зарубежные партнёры,

GOD HATES SNAPS
AND SNAP ENABLERS

Бабуинта, такая Бабауинта.

Как юзер убунту могу заявить, что на снап меня никто не сажал.

Взаимоисключающие параграфы

Вообще, мне от SNAP было ни жарко, ни холодно. Я просто его не использовал. Но эти «гении», походу, форсят свою поделку. Иначе объяснить перенос Firefox в SNAP никак нельзя.

А его можно поставить через снапд?

Это была шутка.